Sem usar o Wireshark, como o 802.11 deve ser descriptografado? Eu sei que o EAPOL e a senha são necessários, mas quais são as etapas necessárias para realizar a descriptografia? Outra maneira de colocar isso é: como o Wireshark descriptografa os pacotes capturados?
Responder1
Digamos que você tenha um rastreamento de pacote no modo monitor 802.11 de uma rede Wi-Fi que estava usando WPA2-PSK e deseja descriptografá-lo manualmente sem usar o recurso do Wireshark.
Primeiro, você precisará saber a senha WPA2 ou PSK da rede. Se você não tem isso, você não pode fazer nada.
Segundo, perceba que cada cliente, cada vez que se reconecta, trabalha com o AP para gerar uma nova chave de criptografia (a Chave Temporal Emparelhada ou PTK) que é usada apenas para aquela conexão. Assim, cada cliente recebe uma nova chave sempre que se reconecta. Esses PTKs são gerados a partir de uma combinação da senha WPA2 (PSK), mais alguns números aleatórios chamadosnoncesque o cliente e o AP geram quando um cliente se [re]conecta.
Portanto, para descriptografar o tráfego de um determinado cliente para uma determinada sessão de conexão, você precisa desses nonces, portanto, é necessário procurar no rastreamento de pacotes e ver quando o cliente se conectou e encontrar os quadros-chave EAPOL (o handshake WPA2) desde o início de a conexão. Olhe nesses quadros, que estarão claros, e obtenha esses nonces.
Depois de ter a senha WPA2/PSK para a rede e os nonces do handshake para uma determinada conexão de um determinado cliente, você pode fazer a matemática AES-CCMP para descriptografar o tráfego dessa sessão do cliente.
Os detalhes de como o AES-CCMP funciona estão além do escopo de uma pergunta do SuperUser, mas estão documentados publicamente na especificação 802.11 (que pode ser baixada gratuitamente do IEEE) e nos documentos AES aos quais ele faz referência.
Responder2
Presumo que sua solicitação seja APENAS para uso em laboratório de testes. Nesse caso, para descriptografar pacotes 802.11, como você mencionou acima - você deve fornecer o SSID e a senha para o aplicativo Wireshark. Você DEVE também capturar o processo de associação (basicamente todos os pacotes de gerenciamento iniciais) quando as estações se associam ao Ponto de Acesso para descriptografar os pacotes. Se você tiver um arquivo de captura criptografado e tiver o SSID e a senha, sua captura deverá incluir o processo de associação. Você também pode usar savvius (https://www.savvius.com/).